Celah keamanan WordPress melalui timthumb.php

Timthumb adalah sebuah library yang fungsinya untuk resizing image. Timthumb digunakan secara luas oleh developer untuk membangun website yang paling umum digunakan adalah pada platform WordPress.

Timthumb mempunyai bugs atau celah yang rentan di manfaatkan oleh hacker untuk menembus website yang berbasi WordPress. Issue ini pertama kali ditemukan oleh Mark Maunder dan ditulis diblognya. Hal ini juga sudah di konfirmasi oleh pengembang Timthumb.

Celah yang di temukan adalah timthumb mengizinkan pihak ketiga untuk upload dan execute script PHP selama di direktori atau folder timthumb. Karena celah itulah attacker bisa memanfaatkan apapun yang diinginkan selama file timthumb ini belum di update.

Cara paling aman untuk melindungi WordPress atau site anda adalah dengan menghapus file timthumb.php. Yang jadi masalah adalah jika fitur resize ini sangat di butuhkan dalam website..So bagaimana caranya?

Pastikan anda menggunakan versi terakhir dari timthumb.php dan selalu chcek website TimThumb developer untuk segala update tentang TimThumb. Anda juga harus setting perintah ALLOW_EXTERNAL dengan nilai FALSE dan cari baris $allowedsites kemudian hapus nama domain yang ada di baris array tersebut.

Pastikan nilai ALLOW_EXTERNAL adalah false

define( 'ALLOW_EXTERNAL', false );

Dan hapus array yang adai di $allowedsites

$allowedSites = array (
	'flickr.com',
	'picasa.com',
	'img.youtube.com',
	'upload.wikimedia.org',
);

Menjadi

$allowedSites = array();

Untuk anda yang menjadi developer plugin atau pembuat theme WordPress kami sarankan untuk menggunakan fungsi resize image yang disediakan oleh WordPress yaitu add_image_size.

3 Comments
  1. Sebelumnya saya ucapkan terima kasih atas info bagus ini, tapi saya ingin tanya apakah file timtumb ini ada di theme atau di mesin wp? apakah bisa blog wp tanpa file ini? sori mas saya masih awam banget

    • hi Daeng, terima kasih sudah mengunjungi blog ini :)
      file timthumb.php biasanya disertakan dalam file theme atau plugin, fungsi utama dari file ini untuk resize image secara otomatis berdasarkan ukuran yang dikehendaki. WordPress sekarang sudah mempunyai fungsi resize image secara otomatis, jadi tidak harus memakai timthumb.php untuk resize image.

  2. thank gan untuk infonya :D

Leave a Reply

 

Latest Tweet

Follow Us On

YM Live Chat!


Dapatkan Update Konten Keren dari Kong Create Setiap Minggunya!